计算机网络与通信第10章

第10章网络安全10.1概述10.2两种密码体制10.3数字签名和报文摘要10.4身份认证和密钥分发10.5Internet网络安全技术计算机网络与通信第10章共59页，您现在浏览的是第1页!10.1概述对网络的攻击可分为下面几类：截取(interception)篡改(Modification)伪造(fabrication)中断(interruption)网络安全结构SA(SecurityArchitecture)：身份认证（authentication）访问控制

(accesscontrol)数据保密（dataconfidentiality）数据完整

(dataintegrity)不可否认（nonrepudiation）计算机网络与通信第10章共59页，您现在浏览的是第2页!10.2两种密码体制10.2.1密码学基础10.2.2对称密钥密码体制与DES算法10.2.3公开密钥密码体制与RSA算法计算机网络与通信第10章共59页，您现在浏览的是第3页!

10.2.1密码学基础密码编码学（cryptography）和密码分析学(cryptanalysis)明文(plaintext)，密文(ciphertext)，加密(encryption)，解密(decryption)，密钥(key)，加密密钥，解密密钥。早期的密钥密码体制：替换密码(substitutioncipher)

替换密码是将明文中每个（或每组）字母由另一个（或另一组）字母所替换。变位密码(transpositioncipher)

变位密码是按照某一规则重新排列报文中的字符顺序。计算机网络与通信第10章共59页，您现在浏览的是第4页!

10.2.1密码学基础现代密码学对称密钥密码体制(symmetrickeycryptography),典型算法是DES公开密钥密码体制(publickeycryptography)，典型算法是RSAKerckoff原则（Kerckoff’sprinciple）加密和解密算法是公开的，而密钥是保密的。密钥的穷举猜测是一种重要攻击手段

计算上不可破译:实用的密码体制一般是计算上不可破译的，而不是理论上不破译的。

计算机网络与通信第10章共59页，您现在浏览的是第5页!

10.2.2对称密钥密码体制与DES算法数据加密标准(DES)

块密码（blockcipher）算法:明文被分成64比特的块，逐块进行加密。密钥长64比特，有效长度是56比特。

计算机网络与通信第10章共59页，您现在浏览的是第6页!

10.2.2对称密钥密码体制与DES算法(1)

初始置换IP(InitialPermutation)

IP(P)将64比特的排列顺序变换，打乱ASCII码字划分的关系。

计算机网络与通信第10章共59页，您现在浏览的是第7页!10.2.2对称密钥密码体制与DES算法扩展变换E()

计算机网络与通信第10章共59页，您现在浏览的是第8页!10.2.2对称密钥密码体制与DES算法 由Sj()矩阵的第p行第q列元素就得到Gj，4比特长度。得到32b的G=G1G2G3G4G5G6G7G8。

对于Bj

=b1b2b3b4b5b6,由它求Gj：

④将G进行一次P()置换:至此，函数变换f()完成。计算机网络与通信第10章共59页，您现在浏览的是第9页!10.2.2对称密钥密码体制与DES算法 2）生成Ki的过程如下：计算机网络与通信第10章共59页，您现在浏览的是第10页!10.2.2对称密钥密码体制与DES算法

解密过程和加密过程使用的算法相同，输入密文C，但以逆顺序生成16个密钥，即K16K15…K1,输出将是明文P。

DES算法主要使用异或、位循环、替代置换等初级运算，运算很快，可以用于大量数据的加密。

计算机网络与通信第10章共59页，您现在浏览的是第11页!10.2.2对称密钥密码体制与DES算法DES的发展

（1）DES-CBC(DESCipherBlockChaining)

DES是一种长度为64b的块替代：电子代码本ECB（ElectronicCodeBook）。缺点：相同的明文块生成相同的密文块。C0=EK(P0⊕IV)C1=EK(P1⊕C0)C2=EK(P2⊕C1)

P0=DK(C0)⊕IVP1=DK(C1)⊕C0P2=DK(C2)⊕C1

DES-CBC加密过程

DES-CBC解密过程

计算机网络与通信第10章共59页，您现在浏览的是第12页!10.2.3公开密钥密码体制与RSA算法公开密钥密码体制

使用一对不相同的加密密钥与解密密钥，也称为非对称密钥密码体制(asymmetrickeycryptography)。

公钥PK（PublicKey），私钥（PrivateKey），记为SK。

DSK(EPK(P))＝P

公开密钥密码体制的特点：加密密钥是公开的，但不能解密，即：DPK(EPK(P))≠P；解密密钥是接收者专用的秘密密钥，对其他人必须保密；加密和解密算法都是公开的；加密和解密的运算可以对调，即：EPK(DSK(P))＝P；在计算机上可以容易地产生PK和SK对；从已知的PK推导出SK在计算上是不可能的。计算机网络与通信第10章共59页，您现在浏览的是第13页!10.2.3公开密钥密码体制与RSA算法RSA算法

基于数论中大数分解的原理：寻求两个大素数比较简单，而将它们的乘积分解开则极其困难。

PK={e,n}，SK={d,n}。n为两个大素数p和q的乘积，素数p和q一般为100位以上的十进数，e和d满足一定的关系。第三者已知e和n时并不能求出d。

(1)加密和解密算法

C=PeModn(加密)

P=CdModn(解密)

计算机网络与通信第10章共59页，您现在浏览的是第14页!10.2.3公开密钥密码体制与RSA算法RSA算法的例子：①选择p=3,q=11，计算出n=pq=33；②计算φ(n)=(p－1)（q－1）=20；③从[0,φ(n)－1]=[0,19]中选择一个与20互素的数

e=7；④7d＝1Mod20，可求得一个d=3；⑤PK＝{e,n}={7,33},SK＝{d,n}={3,33}。计算机网络与通信第10章共59页，您现在浏览的是第15页!10.3数字签名和报文摘要数字签名（digitalsignature）

数字签名应满足以下三点要求：报文认证接收者能够核实报文确实是由发送者签发；报文完整性无法被中途窃取者和接收者所篡改、伪造；不可否认发送者事后无法否认是他签发的报文。数字签名一般采用公开密钥算法。计算机网络与通信第10章共59页，您现在浏览的是第16页!10.3数字签名和报文摘要具有加密的数字签名：

计算机网络与通信第10章共59页，您现在浏览的是第17页!

10.3数字签名和报文摘要报文认证码MAC(MessageAuthenticationCode)MAC=DSK-A(MD(P))报文摘要算法保证了MD(P)能充分地代表，对报文P来说，同样也起到了数字签名安全性的3个作用，相当于没有加密的数字签名。它却有一个非常明显的优点：仅对短的报文摘要MD(P)而不是对整个报文P进行数字签名，可以大大节省处理时间。MD5，128比特的MAC，散列算法SHA(SecureHashAlgorithm)，MAC为160比特，新版本是SHA-1。计算机网络与通信第10章共59页，您现在浏览的是第18页!

10.4身份认证和密钥分发身份认证简介

身份认证（authentication）也称身份鉴别，是识别通信对方身份的技术。

身份认证和报文认证有所区别:后者是指对每一个收到的报文的发送者都要认证，而前者是指通过一次通信过程对对方进行一次身份认证，一般是在数据传输前进行认证。

简单的认证可以通过用户名和口令实现。但口令是可重用的，容易被攻击者窃听。

身份认证系统需要解决的一个重要问题是如何在网上安全地分发密钥。计算机网络与通信第10章共59页，您现在浏览的是第19页!10.4身份认证和密钥分发基于KDC的Needham-Schroeder身份认证和密钥分发计算机网络与通信第10章共59页，您现在浏览的是第20页!

10.4身份认证和密钥分发公钥分发

公钥基础设施PKI(PublicKeyInfrastructure)

公钥证书(PKcertificate):基本功能就是将一个公钥与安全体的名字绑定在一起。证书中不包含私钥。

PKIX基于所谓的证书权威机构CA(CertificationAuthority)。CA负责生成和签发电子公钥证书。CA用自己的私钥对公钥证书进行数字签名，用户使用CA的公钥验证其他用户证书上CA的签名，以核实证书的有效性。这样，通信双方就可以使用对方证书上的公钥认证对方的身份。

计算机网络与通信第10章共59页，您现在浏览的是第21页!10.5Internet网络安全技术10.5.1防火墙10.5.2网际层安全技术10.5.3传输层安全技术10.5.4应用层安全技术计算机网络与通信第10章共59页，您现在浏览的是第22页!10.5.1防火墙(firewall)两种防火墙技术可以组合在一起，形成某种结构的火墙系统。

防火墙的例子计算机网络与通信第10章共59页，您现在浏览的是第23页!10.5.1防火墙(firewall)(1)包过滤防火墙计算机网络与通信第10章共59页，您现在浏览的是第24页!10.5.1防火墙(firewall)(3)屏蔽主机网关防火墙计算机网络与通信第10章共59页，您现在浏览的是第25页!

10.5.2网际层安全技术IP安全(IPSec)

IP协议存在很大的安全隐患：没有提供数据源的认证没有为数据提供强有力的完整性保护没有为数据提供加密性保护还存在着针对IP协议的其他攻击IPSec主要包括以下几个部分：安全协议:认证首部AH(AuthenticationHeader)和封装安全载荷ESP(EncapsulatingSecurityPayload);安全关联SA(SecurityAssociation);密钥交换IKE（InternetKeyExchange）;认证和加密算法。

计算机网络与通信第10章共59页，您现在浏览的是第26页!

10.5.2网际层安全技术AH和ESP格式

计算机网络与通信第10章共59页，您现在浏览的是第27页!10.5.2网际层安全技术隧道模式中的AH和ESP

计算机网络与通信第10章共59页，您现在浏览的是第28页!

10.5.2网际层安全技术因特网密钥交换(IKE)

IKE是自动进行SA的创建、管理和删除的协议。

IKE是一个混合型的协议，因特网安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)以及Oakley和SKEME两个密钥交换协议构成了IKE的基础。

IKE的密钥协商分为两个阶段：第1阶段：对IPSec对等方进行认证并生成会话密钥供后续使用，在IPSec两个端点生成ISAKMPSA。第2阶段：在ISAKMPSA的保护下，双方协商IPSec安全服务，建立IPSecSA。

计算机网络与通信第10章共59页，您现在浏览的是第29页!

10.5.3传输层安全技术传输层安全协议TLS1.0(TransportLayerSecurity)

TLS有以下特点：使用X.509证书进行身份认证；TLS连接是保密性的；TLS连接是可靠的。TLS协议工作在传输层，在TCP之上，应用层之下。TLS对TCP的安全进行扩充，但不包括UDP。TLS由两层协议组成，上层主要是TLS握手协议，还有密码变更规范协议和报警协议，下层是TLS记录协议。TLS握手协议与密码变更规范协议及报警协议用于建立安全连接，协商记录层的安全参数，进行身份认证和报告错误信息。TLS记录协议使用安全连接，封装高层协议的数据。

计算机网络与通信第10章共59页，您现在浏览的是第30页!

10.5.4应用层安全技术安全电子邮件

S/MIME(SecureMIME)、PGP(PrettyGoodPrivacy)和PEM(Privacy-EnhancedMail)PGP加密过程计算机网络与通信第10章共59页，您现在浏览的是第31页!10.2.1密码学基础例子，使用密钥bridge对明文timebombwillblowupatfive进行加密：密钥:bridge顺序:165243明文:timebombwillblowupatfive计算机网络与通信第10章共59页，您现在浏览的是第32页!

10.2.2对称密钥密码体制与DES算法对称密钥密码体制

特点是解密时使用的解密密钥和加密时使用的加密密钥是通信双方共享的同一密钥，它称为共享密钥(sharedkey)。C=EK(P)P=DK(C)DK(EK(P))=P计算机网络与通信第10章共59页，您现在浏览的是第33页!10.2.2对称密钥密码体制与DES算法

DES算法

计算机网络与通信第10章共59页，您现在浏览的是第34页!10.2.2对称密钥密码体制与DES算法(2)16次迭代加密：

Ki是48比特密钥，从原64比特的种子密钥经过变换生成。1）计算：

①将32b的Ri－1经扩展变换E()，扩展为48b的E(Ri－1)②将E(Ri－1)与密钥Ki（均48b）进行模2加，得结果B，并将B顺序地划分为8个6b长的组B1~B8:

计算机网络与通信第10章共59页，您现在浏览的是第35页!10.2.2对称密钥密码体制与DES算法

③将B1~B8经S()变换分别转换为4b的组G1~G8，即：

S盒（S-box）：固定的4×16矩阵，元素为0~15的整数，例如S1()：计算机网络与通信第10章共59页，您现在浏览的是第36页!10.2.2对称密钥密码体制与DES算法

P()置换

计算机网络与通信第10章共59页，您现在浏览的是第37页!10.2.2对称密钥密码体制与DES算法计算机网络与通信第10章共59页，您现在浏览的是第38页!10.2.2对称密钥密码体制与DES算法IP逆置换

计算机网络与通信第10章共59页，您现在浏览的是第39页!10.2.2对称密钥密码体制与DES算法（2）三重DES(TripleDES)使用两个密钥，长度共112bit

加密:C=EK1（DK2（EK1（P）））

解密：P=DK1（EK2（DK1（C）））对称密钥密码体制的其它加密算法

国际数据加密算法IDEA：128比特的密钥Rijndael：128~256比特的密钥计算机网络与通信第10章共59页，您现在浏览的是第40页!10.2.3公开密钥密码体制与RSA算法公开密钥密码体制计算机网络与通信第10章共59页，您现在浏览的是第41页!10.2.3公开密钥密码体制与RSA算法(2)密钥的生成

①计算n:秘密地选择两个大素数p和q，计算出n=pq；②计算φ(n):欧拉函数φ(n)=(p－1)(q－1)；③选择e:从[0,φ(n)－1]中选择一个与φ(n)互素的数e；④计算d:d应满足：

e×d=1Modφ(n)上式表示e×d和1对模φ(n)同余。⑤得出密钥:PK＝{e,n}，SK＝{d,n}。计算机网络与通信第10章共59页，您现在浏览的是第42页!10.2.3公开密钥密码体制与RSA算法计算机网络与通信第10章共59页，您现在浏览的是第43页!

10.3数字签名和报文摘要数字签名满足上述三点要求：

因为P要用A的PK-A才能解密，所以报文是用A的加密密钥SK-A加密的，因此，B可以认证P一定是A签发的。因为P只能用A的私钥SK-A进行签名，中途窃取者和接收者无法进行篡改和伪造。若A欲否认曾签发P给B，B可将P及DSK-A(P)出示给第三者,第三者很容易用PK-A由DSK-A(P)得到P,证实是A签发了P，A无法否认。计算机网络与通信第10章共59页，您现在浏览的是第44页!10.3数字签名和报文摘要报文摘要

数字签名存在问题：加密和解密处理花费时间长，有时应用中某些报文并无加密要求(但也需防止篡改、伪造和否认)。

报文摘要MD(MessageDigest，整个报文映射的一个短的位串，是一种单向的散列函数（one-wayHashfunction）。MD(P)一般是128~512比特。为使MD(P)可以充分地代表P，MD算法应具有如下特点：给定一个报文P,容易计算MD(P)，但反过来，给定一个报文摘要X,由X找到一个报文P使得MD(P)=X，在计算上是不可行的；若想找到任意两个报文P和P’，使得MD(P)=MD(P’)，在计算上也是不可行的。

计算机网络与通信第10章共59页，您现在浏览的是第45页!10.3数字签名和报文摘要使用报文摘要的数字签名

计算机网络与通信第10章共59页，您现在浏览的是第46页!10.4身份认证和密钥分发基于对称密钥的身份认证和密钥分发密钥分发与密钥分发中心

网外分发方式

网内分发方式

密钥分发中心KDC(KeyDistributionCenter):为通信双方生成和分发密钥。基于对称密钥的身份认证和密钥分发机制

Needham-Schroeder协议:基于质询-响应（challenge-response）方式。计算机网络与通信第10章共59页，您现在浏览的是第47页!

10.4身份认证和密钥分发

一次性随机数(nonce,numberonce):可以防止窃听者利用以前截取的报文进行重放攻击（replayattack）。

会话密钥（sessionkey）:一次一密，由机器随机产生，一般使用速度快的对称密码体制。基于公钥的身份认证和公钥分发基于公钥的认证

基于如下质询-响应方式：计算机网络与通信第10章共59页，您现在浏览的是第48页!10.4身份认证和密钥分发X.509版本3公钥证书结构

版本号序列号签名算法颁发者有效期主体主体公钥信息颁发者标识符主体标识符扩展签名计算机网络与通信第10章共59页，您现在浏览的是第49页!10.5.1防火墙(firewall)防火墙技术包过滤技术：由包过滤路由器（packetfilteringrouter）实现IP级防火墙。包过滤路由器位于内部和外部网络的连接处，根据IP包的源地址、目的地址、源端口号、目的端口号等对IP包进行过滤，结构和实现简单。只能控制到IP地址和端口级，无法做到用户级的身份认证和访问控制。代理服务技术：由应用网关(applicationgateway)实现应用级防火墙。通过应用代理服务程序对应用层数据进行安全控制和信息过滤，还有用户级的认证、日志、计费等功能。只能针对特定的应用构建，内部网络通常需要有多个应用网关。

计算机网络与通信第10章共59页，您现在浏览的是第50页!10.5.1防火墙(firewall)防火墙系统结构

防火墙系统的结构主要分为以下4种：

(1)

包过滤防火墙（packetfilteringfirewall）

(2)双穴主机网关防火墙(dual-homedgatewayfirewall)

(3)屏蔽主机网关防火墙(screenedhostgatewayfirewall)

(4)屏蔽子网防火墙(screenedsubnetfirewall)

堡垒主机（bastionhost）

计算机网络与通信第10章共59页，您现在浏览的是第51页!

10.5.1防火墙(firewall)(2)双穴主机网关防火墙计算机网络与通信第10章共59页，您现在浏览的是第52页!

10.5.1防火墙(firewall)

非军事区DMZ(DeMilitarzedZone):

作为一个额外的缓冲区以进一步隔离内部网络和外部网络。企业对外信息服务器，如Web、Email服务器等可放在DMZ,包含重要内部信息的File和DB服务器等则放在内部网络。

(4)屏蔽子网防火墙

计算机网络与通信第10章共59页，您现在浏览的是第53页!

10.5.2网际层安全技术安全协议AH和ESP

AH:提供IP数据报的源站身份认证